Security Tip van de Week: Versleutel je WiFi-netwerk goed
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Jordy Kersten
Beveilig je draadloze netwerk (goed)
Zoals wellicht bekend zijn er veel kwetsbaarheden in de beveiliging van draadloze netwerken. Het grootste probleem bij een draadloos netwerk is dat er geen "harde grenzen" zijn tot waar het netwerk reikt. Hierdoor is de kans groot dat het interne netwerk toegankelijk is vanaf bijvoorbeeld de parkeerplaats of het gebouw aan de overkant van de straat. Dit geeft aanvallers de mogelijkheid om ongestoord aanvallen uit te voeren op de beveiliging van het draadloze netwerk. In sommige gevallen zijn door slechte beveiliging slechts enkele minuten nodig om toegang te krijgen tot het draadloze netwerk.
Indien een aanvaller toegang krijgt tot het draadloze netwerk heeft kan deze aanvallen uitvoeren op de systemen die aanwezig zijn binnen dit netwerk. Ook kan het draadloze netwerk door aanvallers misbruikt worden om anoniem toegang te krijgen tot het internet. Vanuit hier kan bijvoorbeeld spam verstuurd worden of een zogenaamd botnet beheerd worden.
Indien dit bekend wordt leidt deze informatie terug naar de beheerder/eigenaar van het draadloze netwerk. In dit geval kan de verbinding bijvoorbeeld afgesloten worden, en in het ergste geval leiden tot verdenking van strafbare feiten.
WEP
De eerste vorm van beveiliging van het draadloze netwerk is WEP. Dit was de eerste beveiligingsstandaard die aangeboden werd om het draadloze verkeer te versleutelen. De techniek achter deze versleuteling is inmiddels gebroken en het gebruikte wachtwoord om een verbinding met een dergelijk netwerk op te zetten kan eenvoudig achterhaald worden door het simpelweg afluisteren van het verkeer. Het gebruik van een sterke of zwakke sleutel maakt in dit geval niet uit.
Een aanval op deze beveiligingsmethode kan binnen enkele minuten succesvol worden uitgevoerd waardoor de aanvaller binnen enkele minuten toegang verkrijgt tot het interne netwerk. Het advies is dan ook om direct over te stappen naar een veiligere standaard.
WPA
WPA is de opvolger van WEP. Nadat bekend werd dat de beveiliging van WEP was gecompromitteerd is deze standaard beschikbaar gekomen. Omdat de techniek niet stil staat en de toegang tot systemen met veel rekenkracht en clouddiensten meer beschikbaar zijn geworden voor gebruikers heeft ook WPA inmiddels verschillende bekende kwetsbaarheden waardoor ook deze beveiligingsmethode achterhaald is.
Dit heeft met name te maken met het gebruikte versleutelingsalgoritme dat te zwak is. Dit heeft tot gevolg gehad dat er een keuze is gemaakt om de beveiligingsmethode te blijven gebruiken en alleen het gebruikte versleutelingsalgoritme te vervangen door een sterkere variant. Deze opvolger heet WPA2. Het advies is dan ook om altijd voor de WPA2 variant te kiezen.
WPA2
WPA2 komt in twee vormen, namelijk WPA2-Personal en WPA2-Enterprise. Zoals de naam al aangeeft is WPA2-Personal bedoelt voor thuisgebruik en is WPA2-Enterprise geschikt voor zakelijk gebruik, ofwel het beheren van toegang voor een groot aantal systemen. We behandelen beide vormen waarbij we bij elk ervan advies geven over de benodigde instellingen om een zo veilig mogelijk draadloos netwerk op te zetten.
WPA2-Personal
WPA2 is op dit moment de sterkste variant die gebruikt kan worden om een draadloos netwerk te versleutelen. Het advies is dan ook om bij het beveiligen van een draadloos netwerk altijd voor WPA2 te kiezen. Let echter wel op dat er gekozen wordt voor het AES versleutelingsalgoritme, aangezien het alternatief, het TKIP versleutelingsalgoritme, ook bekende kwetsbaarheden bevat waardoor het gebruik hiervan wordt afgeraden. Op het moment is WPA2-Personal alleen kwetsbaar voor een zogenaamde brute-force aanval, waardoor het zeer belangrijk is om een goede, sterke passphrase te kiezen.
Het kiezen van een lang wachtwoord met gebruik van hoofdletters en speciale tekens verlengt de doorlooptijd van een dergelijke aanval aanzienlijk. Echter is door de komst van systemen met veel rekenkracht en het gebruik van clouddiensten ook deze methode in gevaar. Op dit moment is er echter geen alternatief waardoor de beveiliging van het draadloze netwerk afhangt van de sterkte van de gekozen passphrase.
WPA2-Enterprise
WPA2-Enterprise is een alternatief dat gebruikt kan worden voor het beheren van een draadloos netwerk waar veel systemen toegang tot dienen te krijgen. Door gebruik te maken van certificaten en een aparte authenticatie-methode kunnen gebruikers toegang verkrijgen tot het draadloze netwerk. Vaak wordt hiervoor gebruik gemaakt van de logingegevens van het systeem of uit de active directory. Voor de authenticatie wordt over het algemeen gebruik gemaakt van een RADIUS server. Echter bevat ook deze methode verschillende kwetsbaarheden.
Zo is het mogelijk om een zogenaamd roque access point op te zetten, waarmee het mogelijk is om de logingegevens af te vangen. Dit kan echter voorkomen worden door het systeem of apparaat dat verbinding maakt met met draadloze netwerk server-certificaat controle af te laten dwingen. Wanneer deze niet overeenkomt met het ingestelde certificaat zal deze geen verbinding maken met het roque access point van de aanvaller, waardoor deze geen logingegevens kan bemachtigen.
Conclusie
De conclusie die getrokken kan worden is dat op het moment geen van alle beveiligingsmethodes een volledige bescherming biedt van het draadloze netwerk. Het kan echter wel zo geconfigureerd worden dat het niet meer interessant is voor aanvallers om er de benodigde tijd in te steken en de kans groot is dat deze een nabijgelegen draadloos netwerk kiezen dat minder goed beveiligd is.
Samenvatting:
- Gebruik altijd WPA2 in combinatie met een AES versleuteling met een lange, sterke passphrase.
- Controleer het server-certificaat indien er gebruik gemaakt wordt van een authenticatie-server.
Jordy Kersten MSc. ISC2 Associate CEH OSCP OSWP is security consultant bij Madison Gurkha B.V.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Binnen een uur zit ik er anders nog op als ik geluk heb. Elke router is weer anders en sommige kunnen WPS niet eens uitzetten.
Reis je vaak met de trein, dan kan je soms gratis internetten in de trein, omdat in veel treinen een access-point zit, meestal met de naam "t-mobile".
Maak zelf een "hot-spot" met de naam "t-mobile" en monitor het data verkeer, je zult versteld staan van de gegevens die spontaan langskomen.
Dit kan je doen met de naam van elke gratis hot-spot.
Wees gewaarschuwd !
Handig voor de buren, handig voor jezelf als je buren er ook zo over denken als je zelf even geen internet hebt. En als meer mensen het gaan doen heb je op meer plekken gratis internet. Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.
van je url naar wiki -> The only effective workaround is to disable WPS
Monitoren of er iemand op je verbinding zit is effectiever. Ik snap ook niet waarom met niet een simpele digitale teller van 0 t/m 255 op die routers maakt zodat je precies kunt zien hoeveel apparaten er aan je wifi router hangen.
Als je 1 wifi apparaat hebt en de teller geeft 3 aan, dan weet je meteen dat je een probleem hebt.
Da's de beste beveiliging voor WIFI, echter wel wat lastig te implementeren voor de gemiddelde gebruiker.
Des al niet te min, de moeite om te noemen als tip
http://www.softperfect.com/products/wifiguard/
Voor zowel linux, mac als windows.
Waarom maakt iedereen zich zo druk??
Rik
door die slimme jongetjes hier) maar zodra je daarop binnen bent zit je op internet. Als je het LAN op wilt dan
moet je via een van de mogelijkheden om van internet naar binnen te komen (VPN, CItrix Access Gateway) en
die zijn uiteraard beveiligd met two-factor authenticatie.
- deel1: minimaal 20 random tekens of een stevige passphrase met ten minste 6 woorden en max 63 tekens?
- Of deel 1: gewoon 64 willekeurige hexadecimale tekens, maar die zijn onmogelijk te onthouden zonder een veilige password manager.
- deel 2: een gewijzigde niet standaard ssid naam, max 32 tekens?. Dat maakt rainbow table aanvallen onmogelijk
Miljard maal miljard.... Ik spreek je nog wel als de quantumtechniek iets verder gevorderd is.
Waarom maakt iedereen zich zo druk??
Rik
Ach, ik vind het niet fijn wanneer de buurjongen TB's aan muziek/films/software over mijn lijn binnenhengelt waardoor mijn snelheid zakt, of de overbuurman die illegaal foto/film materiaal up of download. Of dat het overbuurmeisje zo makkelijker mijn PC's in het netwerk kan aanvallen, spammen, en sowieso zien wat ik op het web doe. Horecagelegenheden zijn niet verantwoordelijk voor wat er over hun netwerk heen gaat (zie https://secure.security.nl/artikel/44297/1/Juridische_vraag%3A_welke_regels_gelden_voor_gratis_WiFi%3F.html), dat zal ws ook voor particulieren gelden. In eerste instantie staat de politie tocht echt bij mij op de stoep, alleen daar al heb ik geen zin in.
Ik weet niet of er nog steeds routers met WPS verkocht of door internetboeren geleverd worden maar eigenlijk zouden ze verboden moeten worden als WPS niet uit te zetten is. Of eigenlijk aan, het behoort standaard uit te staan. Zodra iemand de PIN heeft kan je het WPA(2) ww wijzigen wat je wil, binnen enkele seconden/minuten is het ww te achterhalen.
- deel1: minimaal 20 random tekens of een stevige passphrase met ten minste 6 woorden en max 63 tekens?
- Of deel 1: gewoon 64 willekeurige hexadecimale tekens, maar die zijn onmogelijk te onthouden zonder een veilige password manager.
Dan is het verder gewoon een kwestie van de sleutel op een post-it schrijven en op je router plakken, voor die enkele keer dat je een nieuwe client moet configureren (even uitgaande van een thuissituatie waarbij iedereen die je in je huis binnen laat ook op je netwerk zou mogen).
- deel 2: een gewijzigde niet standaard ssid naam, max 32 tekens?. Dat maakt rainbow table aanvallen onmogelijk
* Uitzetten van SSID broadcast is geen security feature. De SSID wordt namelijk in clear text verstuurd
* MAC filtering kan helpen, maar is ook geen security feature . Het MAC address wordt in clear text verstuurd
* Als aanvulling op het artikel van de auteur: Voor WPA2 enterprise based authentication, heb je paswoord en certificate based authenticatie. Paswoord authenticatie maakt gebruik van EAP-MSCHAPv2. Hierbij kan een rogue AP worden opgezet die als man-in-the-middle gaat fungeren. De attacker is dan in staat om het domain gegevens te achterhalen. De paswoorden zijn gehashed en kunnen gebruikt worden voor brute force attack en voor Pass the hash. PEAP-EAP-MSCHAPv2 kan helpen op voorwaarde dat het server certificate vertrouwd wordt en alleen de Root CA van je organisatie.
Het meest veilige is PEAP-EAP-TLS, waarbij de client en de server geauthenticeerd worden. PEAP zorgt dan voor een SSL tunnel tussen de wireless client en de authentication server (RADIUS) zodat het authenticatieverkeer geencrypteerd wordt.
* Aanvulling op Orion84: Een andere SSID nemen gaat je niet helpen. Je kan zelf je rainbow tables maken met eender welke SSID en een mogelijk passphrase.
* er bestaat ook cloudcracker voor het bekomen van paswoorden
* Als je de 4-way handshake hebt, ben je al een eind verder in het bekomen van het passphrase.
Denk ook even aan wifi-clients attacks ipv infrastructure attacks. Tegenwoordig staat er heel veel data op mobile devices en deze zijn dan weer minder beveiligd dan infrastructuur oplossingen.
Inderdaad, als je een tools als airodump gebruik zie je de SSID en MAC van een router toch wel en meteen ook het mac adres van de eventuele client die met de router is verbonden. Je geeft jouw eigen WIFI kaart dat mac adres van die client en hop, je kunt een connectie maken met het goedgekeurde mac adres uit de mac filter. En ja, het veranderen van het mac adres op je eigen wifi kaart is een eitje. Beide opties zijn dus redelijk nutteloos.
Handig voor de buren, handig voor jezelf als je buren er ook zo over denken als je zelf even geen internet hebt. En als meer mensen het gaan doen heb je op meer plekken gratis internet. Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.
Alles en iedereen die zich met het netwerk verbind kan dan vervolgens al jouw verkeer sniffen. Een beetje kwaadwillende gebruiker kan ook nog even een BEAST of CRIME attack uitvoeren en daar gaan al je wachtwoorden e.d.....
Nee...goeie "security" tip hoor
Tja WPS wie heeft het ooit kunnen bedenken.
Voor de kenners geen geheim (meer)
Download vanuit Itunes of
http://media.grc.com/sn/sn-337.mp3
Transcripts:
http://www.grc.com/sn/sn-337.txt
http://www.grc.com/sn/sn-337.pdf (pdf zonder exploit, beloofd..)
En dan weet je ook dat het een van de eerste dingen is die je uitzet op je Wireless Accesspoint.
Naast al die andere handige dingen die het leven zo makkelijk, euh onveilig maken zoals UPNP.
- SSID verbergen
- Geen vaste control channel
- WPA2-AES Personal
- Interval 3600
- WPS UIT!
- MAC filter aan
- AP isolated
- TX power aangepast / Radius binnen huis
- Sterk wachtwoord. Geen bestaande woorden gebruiken die ook worden gebruikt in woordlijsten. Gebruik zo iets als; 2Tx@i_o2_@A1p99
en verander je wachtwoord om de kwartaal. Nooit problemen gehad
Wpa aes is slechts even sterk als het wachtwoord, zwak wachtwoord en AES is zwak!
Mac filter aan, blijft ongeveer een paar minuten werken, daarne doe ik de mac na
Sterk wachtwoord hoeft niet beslist speciale tekens te bevatten: gebruik hoofdlettesr, kleine letters,cijfers is voldoende sterk. En lang...lang en lang is beter dan kort en beter te onthouden.
Kan je iets meer zeggen over wat de andere maatregelen opleveren?
====== edit
Oh ja, er is niets fout, zelfs goed, met een zin van 6 of meer bestaande woorden. Kijk naar diceware, slechts een woordenboek van 7000 bestaande korte woorden en niet binnen decennia te kraken bij ten minste 6-7 woorden. Ook nog goed te onthouden.....
Verbergen van SSID heeft als nadeel, dat de clients het SSID uit gaan zenden. Bij niet verborgen SSID's van AP's wacht een client met zenden, totdat het netwerk binnen bereik is.
Het uitzetten van WPS werkt soms niet. Verstandig is om het zelf nog even te controleren met een protcol-analyser (Wireshark) of met reaver (wash applicatie).
Vermogen aanpassen heeft niet veel zin. Er zijn genoeg antennes in de handel om het signaal toch weer te ontvangen.
Een sterk wachtwoord voor WPA(2) is vooral lang (15-20 karakters). Leestekens zijn vaak lastig in te voeren op smartphones of tablets.
[...] Daarnaast is een open netwerk een goede verdediging als iemand via jou netwerk en IP adres rottigheid uithaalt.
Hoe een rechter erover denkt weet ik niet, maar ik verwacht weinig begrip in een situatie die enige gelijkenis vertoont met het openzetten van alle deuren van je huis van waar uit vervolgens iemand anders iets illegaals doet, jij hiervoor op het matje moet komen en ter verdediging aanvoert dat de deuren wagenwijd openstonden... We vernemen graag de uit(komst/spraak)! :)
Passphrases zijn sowieso pas relatief kort "in de mode". Er is lang van alle kanten gehamerd om een zo lastig mogelijk te raden (door mensen) wachtwoord te kiezen met liefst de meest exotische tekens er in.
Veilige hashing methodes zijn alleen met brute force aan te vallen waardoor de lengte van het wachtwoord steeds belangrijker wordt.
Daarnaast raad ik mensen aan om netwerken niet te laten onthouden door de pc/mac. (zie: http://hakshop.myshopify.com/products/wifi-pineapple )
Betreffende we WPS aanval ben je maximaal 10 uur kwijt, afhankelijk van welke code werkt. Dat men binnen enkele minuten WPS gekraakt heeft is dus, lang niet altijd, het geval.
Verder ben ik het met de berichten eens:
- WPA2 met AES en een lange passphrase (liever nog WPA2-enterprise maar dat is in een thuis situatie niet altijd te regelen)
- WPS uit.
- Mac filtering heeft niet veel zin want men kan het adres sniffen en deze bij zichzelf spoofen
- 'Gast' netwerk opzetten met een goede passphrase zodat bekenden toch op je netwerk kunnen zonder dat zij bij het interne gedeelte kunnen.
Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
Het wachtwoord of passphrase kan ook weer worden uitgelezen van het apparaat, waar het is ingevoerd. Daarom is het aan te raden het wachtwoord periodiek te wijzigen.
Graag verneem ik jullie advies hierover !
Maar voer jij dan serieus elke keer opnieuw je wifi wachtwoord in als je opnieuw verbinding maakt thuis?
[................]
Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
Als je WPA2-PSK/AES niet op de zaak gebruikt, verschuif je het probleem dan niet naar het wachtwoord voor de authenticatie?
Maar voer jij dan serieus elke keer opnieuw je wifi wachtwoord in als je opnieuw verbinding maakt thuis?
[................]
Let wel: dan heb je het dus over thuis-situaties, maar goed, dat is in feite ook de enige plek waar WPA2-PSK gebruikt zou moeten worden lijkt me.
ja nou.... interessant.
WPS uitschakelen (disable) in de modem functies is dus een must en maakt het al heel wat moeilijker je WPA/WPA2 sleutel te achterhalen.
Verder zijn er nog enkele kleine techniekjes die je beveiliging kunnen opdrijven en een hacker wat meer bezig houden zoals ssid verbergen, mac filter instellen, blacklist voor unauthorised clients enz.. Zeker aan te raden maar geen 100% kraakvrije garantie. Wel op aan te merken dat een hacker meestal wel de makkelijkste doelwitten zal uitkiezen, tenzij hij natuurlijk gemotiveerd is en zijn skills wil uittesten.
--Levi Siccard --Hugs are worth more then handshakes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
